美丽联合安全MLSRC

文章数:19

积分: 2

美丽联合集团安全应急中心欢迎各位白帽子入驻~比心~

至今

2018-4-10
脉搏文库

sqlmap time-based inject 分析 

1. 前言之前在一次会议上分享过sql注入的检测方法,当@chengable大牛问我sql注入如何检测的的时候,我的回答是:在甲方做安全,sql注入检测还是比较好做的。报错注入检测。别做bool的报错…

2018-3-28
脉搏文库

【技术分享】修复Python任意命令执行漏洞 

1  前言今天遇到一个不好做白名单的Python命令执行漏洞修复的问题。由于是shell=True导致的任意命令执行,一开始大胆猜测将True改为False即可。经过测试确实是这样,但是参数…

2018-3-20
Web安全

【技术分享】Django开发最佳实践(下) 

PART 1. 安全第一修复漏洞的最佳时机便是开发的时候。1.1 CSRF TOKENCSRF TOKEN是Django安全体系中的一项非常重要的安全措施。但是很多情况下,一些刚刚接触Django的同…

2018-3-16
Web安全

【技术分享】Django开发最佳实践(上) 

PART 1. 开始之前      Django 作为一款功能强大的Web应用框架,近年来逐步受到大家的欢迎,越来越多的Python开发者投入到&nb…

2018-3-9
Web安全

枚举子域名 

1.背景开始渗透一个网站前,需要知道网站的网络资产:域名、IP等,而IP和域名有着直接的解析关系,所以如何找到网站所有子域名是关键。2.实现思路在知道网站主域名的情况下,可以通过以下几种方式进行域名收…

2017-12-29
Web安全

【技术分享】Nginx Lua日志收集 

申明,如果文章内容,有任何问题,欢迎读者进行评论指正。我也是这方面的初学者,我也一直在寻找最优秀、有效的方式。0x00 背景在WAF命中规则后,需要记录拦截的日志,之前使用的方法是ngx.log。运行…

2017-11-30
Web安全

【技术分享】文件上传和WAF的攻与防 

1前言本文的测试环境均为nginx/1.10.3PHP 5.5.34有些特性和语言及webserver有关,有问题的地方,欢迎大家指正。2文件上传的特征先来了解下文件上传的特征,抓包看看这段文件上传代…

2017-11-30
Web安全

【技术分享】对AWVS的一次简单分析 

01 前言最近对awvs进行一些简单研究。众所周知,awvs是非常好用的扫描器。强大的爬扫能力让很多人很喜欢它,当然,它也存在缺点:第一、体积庞大,扫描耗时间太久;第二、无法跨平台,只能让w…

2017-11-23
安全文献

【技术分享】KNN算法检测异常操作行为(文末有福利~) 

0x00 KNN(K-NearestNeighbor)算法k近邻算法是采用不同特征值之间的距离方法进行分类的一个分类算法。优点: 精度高,对异常值不敏感缺点: 计算复杂度高,空间复杂度高,对数据的局部…

2017-11-13
Web安全

golang之TCP开发 

Author: 用学@美丽联合安全Date: 201711090x00 回顾TCPTCP(Transmission Control Protocol 传输控制协议)是一种面向连接(连接导向)的、可靠的…

2017-11-8
Web安全

Typecho SSRF漏洞分析与利用 

Google了下Typecho SSRF关键字,发现和WordPress一样,XMLRPC也存在同样的SSRF问题。自己博客也是使用Typecho,所以就分析一下,顺便自己再打个PATCH。Autho…

2017-10-31
Web安全

【续篇】Python协程之从放弃到死亡再到重生 

Author: lightless@Meili-incDate: 20171031前面一篇关于Python协程的文章中,提到了python中协程的一些历史以及一些简单的用法,这些用法放在实际开发中可能…

2017-10-30
Web安全

Same Origin Method Execution 

Author: lightless@Meili-incDate: 201710260x00 什么是Same Origin Method Execution先贴一篇paper,这个是Ben Hayak在…

2017-10-27
Web安全

深入浅出同源策略 

Author: lightless@Meili-incDate: 20171026同源策略应该是学习Web安全时最最基础的内容,时隔多年再回过头来仔细温习一下,发现了不少当初漏掉的细节,结合这么多年的…

2017-10-9
Web安全

Python协程从零开始到放弃 

Author: lightless@Meili-inc Date: 20171009 0x00 前言 很久以前就听说Python的async/await很厉害,但是直到现在都没有用过,一直都在用多线程…